Техническая информация
Вредоносные функции:
Запускает на исполнение:
- <SYSTEM32>\reg.exe DELETE "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\WgaLogon" /f
- <SYSTEM32>\attrib.exe +a +s +h +r <SYSTEM32>\LegitCheckControl.dll
- <SYSTEM32>\regsvr32.exe /s <SYSTEM32>\LegitCheckControl.dll
- <SYSTEM32>\reg.exe DELETE "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\WgaNotify" /f
- <SYSTEM32>\reg.exe DELETE "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\WGA" /f
- <SYSTEM32>\reg.exe DELETE "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\wlballoon" /f
- <SYSTEM32>\xcopy.exe antiwpa.dll <SYSTEM32> /y
- <SYSTEM32>\reg.exe COPY "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Registration" "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion" /s /f
- <SYSTEM32>\taskkill.exe /f /im iexplore.exe /t
- <SYSTEM32>\attrib.exe -a -s -h -r <SYSTEM32>\LegitCheckControl.dll
- <SYSTEM32>\regsvr32.exe /s <SYSTEM32>\antiwpa.dll
- <SYSTEM32>\xcopy.exe LegitCheckControl.dll <SYSTEM32> /y
Завершает или пытается завершить
следующие пользовательские процессы:
- iexplore.exe
Изменения в файловой системе:
Создает следующие файлы:
- %TEMP%\bt8513.bat
Присваивает атрибут 'скрытый' для следующих файлов:
- %TEMP%\bt8513.bat
Удаляет следующие файлы:
- %TEMP%\bt8513.bat
Другое:
Ищет следующие окна:
- ClassName: '' WindowName: ''
